Bagaimana 'Famous Chollima' Korea Utara Guna AI Deepfake untuk Curi Pekerjaan Teknologi dan Rompak $2 Bilion

Penipuan pengambilan pekerja berkuasakan AI

Taktik teras Famous Chollima adalah canggih dan pada masa yang sama merisaukan kerana mudah: dapatkan pekerjaan. Aktif sejak sekurang-kurangnya 2018, kumpulan ini pakar dalam mendapatkan pekerjaan bebas atau setaraf sepenuh masa secara curang, biasanya sebagai pembangun perisian jarak jauh .

Apa yang berubah baru-baru ini ialah industrialisasi penipuan pengambilan ini. Laporan CrowdStrike 2025 Threat Hunting Report menggambarkan "gambaran jelas tentang musuh yang sangat mengintegrasikan alat berkuasa GenAI yang mengautomasikan dan mengoptimumkan aliran kerja pada setiap peringkat proses pengambilan dan pekerjaan" .

Taktik spesifik yang didokumentasikan dalam laporan CrowdStrike termasuk:

• Video dan audio deepfake janaan AI untuk temu duga jarak jauh. Operatif menggunakan alat GenAI pengguna, termasuk ChatGPT oleh OpenAI dan Gemini oleh Google, untuk mengubah suara dan video mereka dalam masa nyata semasa temu duga video dan untuk menghasilkan jawapan yang meyakinkan kepada soalan teknikal .
• Persona profesional yang direka sepenuhnya. Aktor ancaman mencipta profil LinkedIn yang diperkemas dengan imej profil janaan AI, lengkap dengan sejarah pekerjaan yang boleh dipercayai dan resume palsu yang melepasi pemeriksaan latar belakang .
• Dokumen identiti curi sebenar. Operatif memanfaatkan nombor Keselamatan Sosial (Social Security) A.S. yang dicuri dan dokumen identiti lain untuk memperdalam ilusi kesahihan bagi sistem saringan latar belakang .

Pasukan pemburu ancaman CrowdStrike OverWatch telah menyiasat lebih 320 kes berbeza operatif Famous Chollima mendapatkan pekerjaan secara curang dalam tempoh 12 bulan – peningkatan yang mengejutkan sebanyak 220% berbanding tahun sebelumnya . Kadar kejayaan penyamaran ini juga melonjak sebanyak 220%, dan ketua operasi balas musuh CrowdStrike, Adam Meyers, menyatakan pasukannya kini bertindak balas terhadap kira-kira satu insiden sedemikian setiap hari .

Apa yang mereka buru

Motivasinya adalah saluran pendapatan berganda untuk rejim yang dikenakan sekatan itu.

Aliran pertama adalah kecurian gaji secara langsung. Operatif Famous Chollima mengutip gaji dari syarikat yang mereka infiltrasi, menyalurkan upah tersebut ke Korea Utara. Yang kedua – dan lebih merosakkan bagi mangsa – adalah kecurian harta intelek. Setelah berada di dalam rangkaian dengan kelayakan yang sah, operatif tersebut mencuri kod sumber proprietari, rahsia perdagangan, dan IP sensitif lain .

Selari dengan skim pekerja IT, ekosistem siber Korea Utara yang lebih luas menjalankan operasi kecurian mata wang kripto secara besar-besaran. CrowdStrike 2026 Financial Services Threat Landscape Report mendapati kumpulan berkaitan DPRK mencuri gabungan $2.02 bilion dalam aset digital sepanjang 2025, peningkatan 51% berbanding tahun sebelumnya . Rompakan terbesar tunggal – $1.46 bilion dalam mata wang kripto – dikaitkan dengan kumpulan berkaitan PRESSURE CHOLLIMA, yang menggunakan perisian trojan melalui kompromi rantaian bekalan .

Destinasi akhir dana ini adalah jelas. Berbilion yang dicuri "hampir pasti dilaburkan dan akan digunakan untuk membiayai program ketenteraan dan senjata nuklear rejim," nyata 2026 Financial Services Threat Landscape Report .

Di sebalik pengambilan: peras ugut curian data

Walaupun laporan awam Famous Chollima menekankan penyusupan dan kecurian, eksfiltrasi data membawa pulangan berpotensi kedua. Operasi siber Korea Utara yang lebih luas telah mengguna pakai taktik peras ugut curian data – mengancam untuk membocorkan maklumat yang dicuri melainkan wang tebusan dibayar.

Laporan Global Threat Report CrowdStrike sebelum ini mengesan peningkatan 76% dalam jumlah mangsa yang dinamakan di laman kebocoran khusus (dedicated leak sites) apabila peras ugut curian data menjadi laluan pengewangan pilihan bagi banyak musuh . Firma itu menyatakan bahawa aktor berkaitan DPRK telah diperhatikan melakukan kecurian data dan kempen peras ugut tanpa menggunakan perisian tebusan, mengenakan tekanan melalui ancaman mendedahkan data sensitif .

CrowdStrike juga telah mengesahkan bahawa dalam penglibatan perkhidmatan yang melibatkan Famous Chollima, kecurian data telah disahkan dalam 50% kes . Maklumat yang dieksfiltrasi itu boleh dimanfaatkan untuk peras ugut, walaupun ringkasan laporan awam lebih menumpukan pada penyusupan orang dalam dan saluran kecurian gaji-kripto kumpulan itu. Butiran tepat strategi tebusan pasca pengesanan Famous Chollima mungkin hanya tersedia dalam laporan ancaman penuh yang tidak disunting dan bukannya ringkasan awam yang tersedia setakat ini.

Skala dan kecanggihan operasi ini mewakili paradigma baru dalam pencerobohan siber negara-bangsa, mengalihkan ancaman daripada serangan perimeter kepada orang dalam yang dipercayai yang diambil bekerja, dibayar gaji, dan mencuri dari dalam.